[发明专利]保护代理和特权模式

说明书

背景

计算设备中的处理器通常包括特权和非特权模式。以特权模式运行的软件 一般能够执行处理器所支持的每一条指令。通常，操作系统内核在特权模式中 运行，该模式有时被称为“环0”、“管理员模式”或“内核模式”。

相反，可约束在计算设备上运行的某些软件仅以非特权模式运行。该模式 一般允许软件执行处理器的指令的子集。操作系统由此可使用该非特权模式来 限制以该模式运行的软件的活动。例如，软件可被限于计算设备的存储器的特 定子集。该非特权模式有时被称为“环3”或“用户模式”。一般而言，计算设备 用户应用程序以该非特权模式操作。

如果软件应用程序以该非特权模式操作，则该应用程序可请求访问无法直 接从该非特权模式访问的存储器部分。该应用程序可能希望例如在该存储器部 分中执行诸如“创建新文件”等操作。该请求通常经由将该非特权模式代码转换 成特权模式代码的调用门或其他系统调用指令来路由。该转换确保非特权模式 无法直接访问被指定为只可从特权模式访问的存储器。

根据这些模式，恶意代码的制作者可访问特权模式并安装改变计算设备的 行为的恶意软件。该恶意软件可例如更改文件位置、隐藏文件、修改文件、改 变键击等。这些恶意软件中的某一些可包括“rootkit”(根套件)，其不仅改变 计算设备的行为而且将其自身隐藏在特权模式的存储器中。在计算设备上运行 的反病毒应用程序因此可能无法发现该隐藏的rootkit，由此允许该恶意软件继 续其恶意行动。此外，这些恶意软件可如以下所讨论地遮蔽(patchover)操作 系统的内置保护系统。

恶意软件制作者可访问特权模式并且以各种方式将恶意软件加载到计算 设备上，包括通过欺骗计算设备用户不知不觉地将恶意软件安装到该用户自己 的计算设备上。结果，当前操作系统通常采用一个或多个保护系统来检测这些 恶意软件。这些保护系统通常监视某些重要的操作系统资源以检测对这些资源 的任何改变。如果这一保护系统检测到这一改变，则该保护系统可判定该特定 资源已被恶意软件感染。这些保护系统还可向用户的反病毒应用程序提供当前 驻留在非特权模式的存储器中的应用程序的列表。当然，如果恶意软件成功隐 藏，则它不会出现在所提供的列表上。此外，如果恶意软件成功遮蔽保护系统， 则该保护系统可能无法运行或无法以其他方式检测对重要的操作系统资源的 任何改变。

虽然这些保护系统可以是有效的，但它们也可具有几个弱点。第一，这些 系统通常依赖于隐匿并由此容易在被恶意软件标识的情况下受到恶意利用。 即，如果恶意软件解密了保护系统的身份并定位了该保护系统，则该恶意软件 可禁用该保护系统本身。恶意软件制作者还可指示其他人如何做同样的事情。 此外并且与第一个弱点有关，这些保护系统一般在与操作系统相同的保护范围 内操作(例如，在特权模式自身中)。因此，如果恶意软件获得对特权模式的 访问权并且能够去除隐匿保护系统的屏蔽，则保护系统自身容易受到攻击。最 后，这些保护系统与操作系统或特权模式同时初始化。因此，如果恶意软件或 恶意软件制作者在该初始化之前获得对计算设备的控制，则它或他可防止保护 系统初始化。

概述

本文描述了能够使得保护代理能从不可从操作系统特权模式访问的存储 器中确定操作系统的一个或多个资源是否已被修改的工具。在某些实施例中， 这些工具可使得保护代理能够驻留在虚拟机监控程序中。在其他实施例中，这 些工具可使得保护代理能够驻留在由虚拟机监控程序提供的不同的虚拟分区 中。通过在操作系统特权模式之外操作，保护代理可较不易受到在操作系统特 权模式中操作的实体的攻击。

提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的 一些概念。本概述不旨在标识所要求保护的主题的关键或必要特征，也不旨在 用于帮助确定所要求保护的主题的范围。例如，术语“工具”可以指上述上下文 和通篇文档所准许的系统、方法、计算机可读指令、和/或技术。

附图简述

图1示出了工具的各个实施例可在其中操作的示例性操作环境。

图2展示了图1所示模块的不同的计算设备存储器权限。

图3表示图1所示模块中的某一些驻留在其中的计算设备存储器的不同部 分。

图4是示出虚拟机监控程序可保护与保护代理相关联的存储器部分并设 置定时器以运行该代理的示例性方式的流程图。